DFN-CERT-2017-1082 Cisco Unified Contact Center Express: Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten [Netzwerk][Cisco]

DFN-CERT-2017-1082 Cisco Unified Contact Center Express: Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten [Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cisco Unified Contact Center Express 11.5(1)
Cisco Unified Contact Center Express 11.5.1ES01
Cisco Unified Contact Center Express 11.5.1SU1

Betroffene Plattformen:

Cisco Unified Contact Center Express

Eine Schwachstelle in Cisco Unified Contact Center Express ermöglicht es
einem entfernten, nicht authentisierten Angreifer eine im Klartext
übertragene Benutzerauthentifizierung auszuspähen, wodurch dieser sich dann
gegenüber einem System als legitimer Benutzer ausgeben kann.

Cisco betätigt diese Schwachstelle und gibt in seiner CVRF-Datei die
Versionen 11.5(1), 11.5.1ES01 und 11.5.1SU1 als betroffen an. Unter der
Cisco Bug-ID CSCuw86638 nennt Cisco weiterhin die Version 10.6(1) als
betroffen und die Cisco Unified Contact Center Express Version
11.5(1.10000.61) als nicht betroffene Version.

Patch:

Cisco Security Advisory cisco-sa-20170621-ucce (CVE-2017-6722)

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-ucce

CVE-2017-6722: Schwachstelle in Cisco Unified Contact Center Express
ermöglicht Erlangen von Benutzerrechten

Im Extensible Messaging and Presence Protocol (XMPP)-Service von Cisco
Unified Contact Center Express (UCCx) existiert eine Schwachstelle, weil der
Service einen unsicheren HTTP-Port zur entfernten Anwesenheitskontrolle für
Drittanbieter falsch verarbeitet, wodurch Benutzerauthentifizierungen im
Klartext über das Netzwerk übermitteln werden. Ein Angreifer kann das
ausnutzen und sich als legitimer Benutzer ausgeben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1082/

Cisco Security Advisory cisco-sa-20170621-ucce (CVE-2017-6722):
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170621-ucce

Schwachstelle CVE-2017-6722 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6722

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben